Hoheitliche Überwachung - gesehen durch ein globales "Prisma"


Leslie Harris

ist Präsidentin und CEO des Center for Democracy & Technology (CDT). See the English version at the end of the German text.

 

Das Center for Democracy & Technology (CDT - www.cdt.org) ist eine gemeinnützige Organisation mit Sitz in Washington DC und mit Büros in Brüssel und San Francisco, die sich u.a. für offenen, innovativen und freien Internetzugang einsetzt. CDT unterstützt seit langem aktiv die Verabschiedung eines umfassenden Datenschutzgesetzes in den USA sowie die Reform des Electronic Communications Privacy Act, der u.a. den Datenzugriff der Strafverfolgungsbehörden regelt.

 

 

ZD 2013, 369            Edward Snowden, die Quelle der durchgesickerten Dokumente über das Überwachungssystem PRISM, warnt in einem Interview in der Tageszeitung The Guardian, dass die Überwachung im digitalen Zeitalter "nicht nur ein US-Problem" sei.

Snowdens Enthüllungen über die amerikanische National Security Agency (NSA) haben berechtigte Sorgen in den USA und weltweit auf den Plan gerufen. Snowden hat The Guardian auch Dokumente übergeben, die zeigen, dass auch die britische Spionage-Agentur (GCHQ) heimlich Zugang zu den Seekabeln hat, über die weltweit Telefonate und Internetverkehr abgewickelt werden. Nach den Unterlagen "produziert" der GCHQ "größere Mengen an Meta-Daten als die NSA." Inzwischen hat Der Spiegel berichtet, dass in Deutschland der Geheimdienst BND die Kommunikation im internationalen Verkehr von, nach und durch Deutschland in einem Kommunikationsknoten in Frankfurt überwacht; der BND versucht, diese Fähigkeiten deutlich zu erweitern.

Wichtige Fragen sind hinsichtlich der Überwachungspraktiken der US-Regierung aufgeworfen worden, und das Center for Democracy & Technology (CDT) steht im Mittelpunkt der Bemühungen um eine Reform des US-Rechts. Allerdings wäre es ein Fehler der Europäer, die PRISM-Debatte als ein bloßes weiteres Beispiel der transatlantischen Differenzen über die Privatsphäre aufzufassen. Es gibt mindestens drei weiterreichende Fragen, die Industrie, Datenschützer und Politiker auf beiden Seiten des Atlantiks und im Rest der Welt in den Griff bekommen müssen.

Erstens, die Revolution bei der Speicherung und die Big-Data-Analysefunktionen, kombiniert mit Befürchtungen in Bezug auf Terrorismus sowie eher banalen Anforderungen der öffentlichen Verwaltung, sind die treibende Kraft eines stetig wachsenden staatlichen "Appetits" auf den Zugriff auf Daten, welche die Privatwirtschaft speichert.

Zweitens besteht das Problem, dass internetbasierte Dienste für Kommunikation, Datenspeicherung und Social-Networking globalisiert worden sind. Diese grenzüberschreitenden Auswirkungen führen zu schwierigen, ungelösten Herausforderungen an die staatlichen Anforderungen. Zumindest ist es immer wahrscheinlicher, dass mehr als ein Land ein berechtigtes Interesse an bestimmten Datensätzen hat, was die Unternehmen in eine schwierige Lage versetzt.

Drittens räumen nationale Gesetze und internationale Verträge seit langem den Regierungen immer mehr Befugnisse ein, um Daten im Namen der nationalen Sicherheit über gewöhnliche Strafverfolgungsfälle hinaus zu sammeln. In der Ära nach dem 11. September nehmen diese separaten Regeln für die nationale Sicherheit einen viel größeren Raum ein. Die Einordnung von Cybersicherheit als nationales Sicherheitsproblem - wie sie verschiedene Nationen klassifizieren - könnte den Umfang der Datenerhebung nach den nationalen Sicherheitsvorschriften erheblich vergrößern.

Bevor auf die Auswirkungen dieser drei Fragen eingegangen wird, sollten einige Missverständnisse über das US-Recht geklärt werden. Einige Kommentatoren in Europa haben angemerkt, dass die Vereinigten Staaten die Privatsphäre (Privacy) nicht als Grundrecht ansehen und es daher dort bei Privacy keine Rechte für Nicht-US-Bürger gibt. Die Wahrheit ist komplizierter. Die Kommunikations-Privatsphäre zwischen dem Individuum und der Regierung ist ein Grundrecht in den USA, das vom Vierten Zusatz (Fourth Amendment) der US-Verfassung geschützt ist. Die Gerichte und der Kongress tun sich seit Jahrzehnten schwer mit der Anwendung dieser Bestimmung, die im Jahre 1789 verfasst wurde, auf neuere Technologien, und die Ergebnisse sind uneinheitlich. Aber das Fourth Amendment, wie die meisten Bestimmungen in der US-Verfassung, gilt gleichermaßen für US-Bürger und Nicht-US-Bürger, die sich physisch in den USA befinden. Die Bundesgesetze, die genaue Verfahren und Anforderungen für die elektronische Überwachung definieren, erfordern eine gerichtliche Anordnung, die Benennung einer bestimmten Person oder eines Konto, um die Kommunikation der US-Bürger und Nicht-US-Bürger innerhalb der USA abzufangen - sowohl für Angelegenheiten der Strafverfolgung als auch der nationalen Sicherheit.

Das Problem aus europäischer Warte ist, dass das Fourth Amendment nicht die Kommunikation der Nicht-US-Bürger schützt, die sich physisch außerhalb der USA befinden. Allerdings genießen auch US-Bürger nicht den vollen Schutz der Verfassung außerhalb der USA. Mit einer Ausnahme (gerade im Bereich der auslandsbezogenen Geheimdiensttätigkeit) bedarf die US-Regierung keiner Autorisierung durch ein Gericht, um eine elektronische Überwachung außerhalb der USA durchzuführen, selbst wenn diese US-Bürger umfasst. Verfechter der Privatsphäre in den USA (einschließlich CDT) fordern mehr Transparenz und schärfere Kontrollen der US-Spionage sowohl für US-Bürger als auch Nicht-US-Bürger. Amerikanische Internet-Unternehmen haben eine Vorreiterrolle bei der Transparenz übernommen, indem sie stetig Angaben darüber veröffentlichen, wie viele staatliche Anfragen sie erhalten haben und wie viele Kundenkonten betroffen sind. Die Angaben zeigen in der Tat, dass die US-Regierung nicht immer pauschalen Zugang zum Internet hat, obwohl es pauschalen Zugang zu Telefonie-Verkehrsdaten der US-Bürger und Nicht-US-Bürger gibt. Google und Microsoft haben Klagen eingereicht, um die Erlaubnis zu erhalten, noch mehr Details über PRISM und andere Programme aufzudecken, damit die Kunden erkennen, dass die Intensität des Eindringens in die Privatsphäre relativ gering ist.

Lange vor den Einhüllungen der letzter Zeit sind US-Unternehmen einer Koalition mit Datenschützern zu Gunsten von Lobbying-Maßnahmen gegenüber dem US-Kongress beigetreten, um die Grenzen für Zugriffe auf die Kommunikation in strafrechtlichen Ermittlungen enger zu ziehen. Im US-Senat werden von Ausschüssen Entwürfe beraten, dass die Strafverfolgungsbehörden zukünftig einen Haftbefehl von einem Richter brauchen, bevor sie einen Cloud-Service-Provider zwingen können, die im Auftrag von Kunden gespeicherten Inhalte von Gesprächen oder Dokumente offenzulegen. Der Schutzbereich des Gesetzesentwurfs umfasst gleichermaßen US-Bürger und Nicht-US-Bürger - gleich ob sie sich physisch in den USA befinden oder nicht. Mehrere parteiübergreifende Gesetzesentwürfe liegen dem Kongress zu Gunsten einer richterlichen Anordnung für die Polizei beim Zugriff auf Handy-Tracking-Daten vor.

Die nationale Sicherheit, die von größter Geheimhaltung umgeben ist, stellt mit Abstand die schärfsten Herausforderungen. Regierungen auf der ganzen Welt reklamieren ihr Vorrecht der Überwachung für Zwecke der nationalen Sicherheit. Datenschutzgesetze geben oft einen breiten Spielraum für solche Aktivitäten oder stellen sie sogar völlig frei. In der EU gibt es z.B. in der aktuellen Datenschutz-Richtlinie und im Verordnungsentwurf (DS-GVO) eine ausdrückliche Ausnahme der Verarbeitung von Daten für Zwecke der nationalen Sicherheit. Die nationalen Normen bieten oft geringeren Schutz für die Überwachung von Nicht-Staatsangehörigen außerhalb eines Landes.

Was erforderlich ist, ist eine weltweite, tragfähige Debatte über die Standards für die staatliche Überwachung. Diese Debatte erfordert vorab eine viel größere Transparenz über die aktuellen Praktiken. CDT und andere untersuchen auf rechtsvergleichender Basis die nationalen Überwachungsstandards, aber in vielen Ländern ist aus Gründen der Geheimhaltung selbst unklar, welche Befugnisse die Regierungen haben. Ironischerweise als Folge der Aufdeckungen von Snowden haben die USA jetzt mehr Transparenz über ihre Praktiken und Regeln als jedes andere Land aufzuweisen.

Die Rechtszuständigkeit gehört zu den schwierigsten Fragen der Überwachung des Internet. Angesichts der Globalisierung der Dienste der Informationsgesellschaft können die Daten in Bezug auf die Bürger eines Landes in das Gebiet eines anderen Landes gelangen und dort gespeichert werden. Es ist unwahrscheinlich, dass ein Land völlig darauf verzichtet, Vorteile aus dem Zugang zu den auf seinem Hoheitsgebiet befindlichen Servern, Kabeln oder Vertretern der Gesellschaft zu ziehen.

Der beste Lösungsweg kann im Rahmen der internationalen Menschenrechte gefunden werden. Internationale und regionale Menschenrechtsabkommen anerkennen das Recht auf Pri-vatsphäre, aber sie statuieren auch ausdrücklich, dass das Recht nicht absolut ist. Zum Beispiel besagt die Europäische Menschenrechtskonvention (EMRK), dass eine Behörde in das Recht auf Privatsphäre für Zwecke der nationalen Sicherheit "in Übereinstimmung mit dem Gesetz" eingreifen kann, wenn dies "in einer demokratischen Gesellschaft notwendig" ist. Die Herausforderung besteht darin, dass dieser Rahmen mit Substanz gefüllt werden muss.

Der am weitesten entwickelte Bereich transnationalen Rechts hinsichtlich der staatlichen Überwachung und der Privatsphäre ist der Europäische Gerichtshof für Menschenrechte (EGMR), der im Laufe der Jahre mehrere Urteile zum Abhören erlassen hat - einschließlich der Überwachung der nationalen Sicherheit. Der EGMR hat nie geurteilt, dass eine geheime Überwachung per se eine Verletzung der Menschenrechte darstellt. Stattdessen hat er eine Reihe von "Checks and Balances" gegen die Gefahr des Missbrauchs identifiziert. Dazu gehören öffentliche Rechtstandards, eine Rolle der rechtsprechenden Gewalt bei der Genehmigung und Überwachung eines Überwachungssystems, Anforderungen an die Genauigkeit, Notwendigkeit, Verhältnismäßigkeit und Rechtfertigung, Grenzen für die Speicherung und Nutzung von Daten und wirksame Rechtsmittel bei Missbrauch. Anfang 2013 hat der UN-Sonderberichterstatter für Meinungsfreiheit in einem Bericht über staatliche Überwachung empfohlen, dass die nationalen rechtlichen Rahmenbedingungen auf ähnliche Weise verstärkt werden sollten.

Die Anhebung der gesetzlichen Normen auf die globale Ebene bietet einen Lösungsweg für die Herausforderungen der grenzüberschreitenden Überwachung. Aber warum sollte ein Land wie die USA sich jemals bei der Überwachung von Personen außerhalb der USA zurückhalten? Eine Antwort kann im wirtschaftlichen Eigeninteresse gefunden werden. In einer global vernetzten Welt, insbesondere dort, wo die USA eine beherrschende Stellung im Bereich Cloud Computing, Social Networking und anderer Internet-Dienste erreicht haben, ist es nicht genug, dass die USA nur Menschen in ihrem Hoheitsgebiet schützen. Für viele führende US-Unternehmen befindet sich ein Großteil ihrer Kunden außerhalb der USA. Das Internet ist grenzenlos, die Angelegenheit der nationalen Sicherheit ist grenzenlos, und das muss auch für die rechtlichen Standards gelten, die bei den Auswirkungen der Überwachung mit grenzüberschreitenden Bezügen angeglichen werden müssen.

In einer vernetzten Welt müssen daher die Standards für den Zugriff der Regierung nicht so sehr im Kontext einer Debatte zwischen US- und EU-Recht, sondern auf der Grundlage der internationalen Menschenrechtsnormen beurteilt werden. Die Gesetze sind sich ähnlicher, als man denkt. Die US-Regierung könnte argumentieren, dass die PRISM-Standards tatsächlich mit dem internationalen Recht in Einklang sind, aber das wird zu einer spannenden Debatte führen, in der die Europäer ihre eigenen Regeln erklären und ihre Gesetze gegenüber den gleichen Standards verteidigen müssen. Für diese zu führende Debatte kann die Politik in Europa und den USA mit den Menschenrechtsinstitutionen, den gesellschaftlichen Kräften und der Internet-Branche als Ganzes zusammenarbeiten, um den Rest der Welt in Richtung Transparenz, Verhältnismäßigkeit und Rechenschaftspflicht zu bewegen.

 

Government Surveillance Viewed though a Global PRISM

 Leslie Harris

is the President and CEO of the Center for Democracy & Technology (CDT).

CDT (www.cdt.org) is a nonprofit organization based in Washington DC, with offices in Brussels and San Francisco, committed to an open, innovative and free Internet. CDT has long supported actively the adoption of a comprehensive data protection law in the United States and the reform of the Electronic Communications Privacy Act, including the regulation of data access by law enforcement agencies.

 

ZD 2013, 369              Edward Snowden, the source of leaked documents about PRISM, warns in a recent interview in The Guardian newspaper that government surveillance in the digital age is “not just a US problem.”

 

Snowden’s revelations about the US National Security Agency have drawn legitimate concern both in the US and globally. But Snowden also gave The Guardian documents showing that Britain’s spy agency has secretly gained access to the cables that carry the world's phone calls and Internet traffic.  Indeed, according to the documents, Britain’s GCHQ "produces larger amounts of metadata collection than the NSA."

 

Meanwhile, Der Spiegel has reported that Germany’s foreign intelligence agency, the BND, is monitoring communications at a Frankfurt communications hub that handles international traffic to, from and through Germany.  And the BND is seeking to significantly extend its capabilities.

 

Important questions are being raised about the surveillance practices of the US government, and the Center for Democracy and Technology is at the center of efforts to reform US law.  However, in assessing PRISM, it would be a mistake to focus only on trans-Atlantic differences over privacy. There are at least three bigger questions that industry, privacy advocates, and policymakers on both sides of the Atlantic and in the rest of the world have to grapple with.

 

First, the storage revolution and big data analytic capabilities, combined with fears about terrorism as well as more mundane demands of public administration, are driving a steadily growing governmental appetite for access to data held by the private sector. Second, as Internet-based services for communications, data storage, and social networking have become globalized, the transborder implications of those governmental demands pose very hard, unresolved challenges.  At the least, it is increasingly likely that more than one country will have a legitimate interest in a certain item of data, placing companies in a difficult position.  Third, national laws as well as international agreements having long allowed governments to exercise greater powers to collect data in the name of national security than in ordinary criminal law enforcement cases.  In the post 9/11 world, activities conducted under these separate rules for national security have vastly expanded.  Defining cybersecurity as a national security problem – as various nations are doing -- could further magnify the scope of data acquired under national security standards.

 

Before exploring the implications of these three issues, we should briefly address some misconceptions about US law.  Some commentators in Europe have said that the US does not view privacy as a fundamental right and therefore does not afford privacy rights to non-citizens.  The truth is more complicated.  To begin with, communications privacy as between the individual and the government is a fundamental right in the US, protected by the Fourth Amendment to the US Constitution.  For decades, the courts and Congress have struggled to apply that provision, which was written in 1789, to newer technologies, and the results have been uneven.  But the Fourth Amendment, like most provisions in the US Constitution, applies equally to citizens and non-citizens who are physically inside the US. The federal statutes that define precise procedures for electronic surveillance require a court order, naming a specific person or account, to intercept the communications of both citizens and non-citizens inside the US, in both law enforcement and national security matters.

 

The problem from a European perspective is that the Fourth Amendment right to communications privacy does not limit US surveillance of non-citizens who are physically outside the US. However, even US citizens do not enjoy the full protection of the Constitution outside the US: With one exception (actually in the foreign intelligence area), the US government does not need a court order to conduct electronic surveillance outside the US even when targeting US citizens.

 

Privacy advocates in the US (including CDT) are calling for both greater transparency and tighter controls on US spying directed at both citizens and non-citizens.  US Internet companies are increasingly publishing details about how many US government demands they receive and how many customer accounts are affected.  (The details, in fact, prove that Internet companies are not giving the US government blanket access to communications content, either for citizens or non-citizens.)  Indeed, Google and Microsoft have filed lawsuits seeking permission to disclose even more details about PRISM and other programs, so customers can see that the levels of intrusion are relatively low. 

 

Long before the recent revelations, US companies had joined in a coalition with privacy advocates to lobby Congress to increase the limits on government access to communications in criminal investigations.  In the Senate, legislation has already been reported out of committee to require law enforcement officials to obtain a warrant from a judge before they can compel a cloud service provider to disclose the contents of communications or documents stored on behalf of customers.  The bill’s protections would apply equally to citizens and non-citizens, whether they are physically located in the US or not.  Several bipartisan bills have been introduced in Congress to require a judicial warrant for police access to mobile phone tracking data. 

 

National security presents by far the hardest challenges, surrounded by the greatest secrecy.  Governments around the world maintain the prerogative to conduct surveillance for national security purposes.  Privacy laws often give wider latitude to such activities, or exempt them altogether. In the EU, for example, both the current data protection directive and the proposed new regulation specifically exempt processing of data for national security purposes. National standards often afford lesser protection when surveillance is aimed at non-citizens outside a nation’s territory.

 

What we need, globally, is a robust debate about what the standards should be for government surveillance.  That debate should be premised on much greater transparency about current practices.  CDT and others have been exploring, on a comparative basis, national standards for surveillance, but in many countries government secrecy impedes an understanding of even what powers the government claims.  (Ironically, as a result of the Snowden leaks, the US may now have more transparency on its practices and rules than any other country in the world.) 

 

Of course, questions concerning government surveillance are compounded by another one of the Internet’s most difficult policy challenges: jurisdiction.  Given the globalization of information society services, data pertaining to the citizens of one country may flow through or be stored in the territory of another country.  It seems highly unlikely that any country will completely refrain from taking advantage of the access afforded by the presence of servers, cables, or corporate officials in its own territory.

 

The best way forward can be found within the context of international human rights law.  International and regional human rights treaties recognize the right to privacy, but they also expressly state that the right is not absolute. For example, the European Convention on Human Rights states that a public authority can interfere with the right to privacy for national security purposes “in accordance with the law” when “necessary in a democratic society.” The challenge now is to put substance on that framework.

 

The most fully developed body of trans-national law on government surveillance and privacy is that of the European Court of Human Rights, which over the years has issued multiple decisions on wiretapping, including national security surveillance.  The court has never suggested that secret surveillance is per se a violation of human rights.  Instead, it has identified a set of checks and balances that could offer sufficient guarantees against the risk of abuse.  These include the spelling out of standards in a public law, the role of the judiciary in approving and overseeing a surveillance system, requirements of specificity, necessity, justification and proportionality, limits on the retention and use of data, and effective remedies for misuse. Earlier this year, the UN’s special rapporteur on freedom of expression issued a report on government surveillance, specifically recommending that national legal frameworks be strengthened along similar lines.

 

The raising of legal standards on a global basis offers a partial solution to the challenges of transborder surveillance. But why would a country like the US ever agree to restrain its surveillance activities directed at persons outside the US?  An answer may be found in economic self-interest.  In a globally networked world, especially where the US has achieved a dominant position in cloud computing, social networking, and other Internet services, it is not enough for the US to simply protect people inside its territory.  For many leading US companies, a majority of their customers are outside the US. The Internet is borderless, the national security concerns are borderless too, so legal standards need to catch up and recognize the implications of surveillance with cross-border implications, 

 

In a networked world, the standards for government access must be judged not so much in the context of a debate between US and EU law (for they are closer than many assume) but rather on the basis of international human rights standards. The US government may argue that the PRISM standards actually comport with international law, but that will be an illuminating debate, in which Europeans must explain and defend their own laws by the same standards.  If they can have this debate, then policymakers in Europe and the US can work with human rights institutions, civil society, and the Internet industry at large to move the rest of the world towards a set of principles based on transparency, proportionality and accountability.